Acerca del contenido de seguridad de OS X Lion v10.7.2 y la actualización de seguridad 2011-006

Este documento describe el contenido de seguridad de OS X Lion v10.7.2 y la actualización de seguridad 2011-006.

Este documento describe el contenido de seguridad de OS X Lion v10.7.2 y la actualización de seguridad 2011-006, que se pueden descargar e instalar a través de las preferencias de Actualización de software o de Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
 

OS X Lion v10.7.2 y actualización de seguridad 2011-006

  • Apache

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Diversas vulnerabilidades en Apache

    Descripción: Apache se ha actualizado a la versión 2.2.20 para solucionar diversas vulnerabilidades, la más grave de las cuales puede provocar una denegación de servicio. CVE-2011-0419 no afecta a los sistemas OS X Lion. Para obtener más información, visita el sitio web de Apache http://httpd.apache.org/

    ID CVE

    CVE-2011-0419

    CVE-2011-3192

  • Firewall de aplicación

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La ejecución de un binario con un nombre creado con fines malintencionados puede provocar una ejecución de código arbitrario con privilegios de alto nivel

    Descripción: Existía una vulnerabilidad de cadena de formato en el registro de depuración en el Firewall de aplicación.

    ID CVE

    CVE-2011-0185: Un informante anónimo

  • ATS

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización o la descarga de un documento que contiene una fuente incrustada creada con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existía un problema de presencia de signo en el procesamiento de fuentes de tipo 1 en ATS. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3437

  • ATS

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La visualización o la descarga de un documento que contiene una fuente incrustada creada con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existía un problema de acceso a la memoria fuera de los límites en el procesamiento de fuentes de tipo 1 en ATS. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0229: Will Dormann de CERT/CC

  • ATS

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Las aplicaciones que utilizan la API ATSFontDeactivate podrían ser vulnerables al cierre inesperado de una aplicación o a la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento en el búfer en la API ATSFontDeactivate.

    ID CVE

    CVE-2011-0230: Steven Michaud de Mozilla

  • BIND

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Diversas vulnerabilidades en BIND 9.7.3

    Descripción: Existían varios problemas de denegación de servicio en BIND 9.7.3. Para solucionar estos problemas, se debe actualizar BIND a la versión 9.7.3-P3.

    ID CVE

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Diversas vulnerabilidades en BIND

    Descripción: Existían varios problemas de denegación de servicio en BIND. Para solucionar estos problemas, se debe actualizar BIND a la versión 9.6-ESV-R4-P3.

    ID CVE

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Política de confianza en certificados

    Disponible: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1.

    Impacto: Se han actualizado los certificados raíz

    Descripción: Se han agregado varios certificados de confianza a la lista de certificados raíz del sistema. Varios certificados existentes se han actualizado a sus versiones más recientes. La lista completa reorganizada de certificados raíz del sistema puede verse mediante la aplicación Acceso a llaveros.

  • CFNetwork

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Safari podría almacenar cookies que se ha configurado para no aceptar

    Descripción: Existía un problema de sincronización en el manejo de políticas de cookies por parte de CFNetwork. Las preferencias de cookies de Safari podrían no respetarse, y eso podría permitir que los sitios web configuren cookies que se bloquearían si se aplicaran las preferencias. Esta actualización soluciona el problema con un manejo mejorado del almacenamiento de cookies.

    ID CVE

    CVE-2011-0231: Martin Tessarek, Steve Riggins de Geeks R Us, Justin C. Walker y Stephen Creswell

  • CFNetwork

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información confidencial

    Descripción: Existía un problema en el procesamiento de cookies HTTP por parte de CFNetwork. Al acceder a una dirección URL HTTP o HTTPS creada con fines malintencionados, CFNetwork enviaba por error las cookies para un dominio a un servidor fuera de dicho dominio. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3246: Erling Ellingsen de Facebook

  • CoreFoundation

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La visualización de un sitio web o un mensaje de correo electrónico creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en el manejo de las cadenas de token por parte de CoreFoundation. Este problema no afecta a los sistemas OS X Lion. Esta actualización soluciona el problema mediante una mejora en la comprobación de límites.

    ID CVE

    CVE-2011-0259: Apple

  • CoreMedia

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de los datos de video desde otro sitio

    Descripción: Existía un problema de origen cruzado en el manejo de redireccionamientos entre sitios cruzados por parte de CoreMedia. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

    ID CVE

    CVE-2011-0187: Nirankush Panchbhai y Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en el manejo de los archivos de película de QuickTime. Estos problemas no afectan a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0224: Apple

  • CoreProcesses

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Una persona con acceso físico a un sistema podría omitir parcialmente el bloqueo de pantalla

    Descripción: Una ventana de sistema, como un mensaje de solicitud de contraseña VPN, que se muestra cuando la pantalla está bloqueada podría aceptar pulsaciones con la pantalla bloqueada. Para solucionar este problema, se debe evitar que las ventanas de sistema soliciten pulsaciones de tecla mientras la pantalla está bloqueada. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-0260: Clint Tseng de University of Washington, Michael Kobb y Adam Kemp

  • CoreStorage

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La conversión a FileVault no borra todos los datos existentes

    Descripción: Después de activar FileVault, se han dejado sin encriptar aproximadamente 250 MB al comienzo del volumen en una zona sin usar del disco. Únicamente los datos presentes en el volumen antes de que se activara FileVault se han dejado sin encriptar. Para solucionar este problema, se debe borrar esta zona cuando se activa FileVault y al usar por primera vez un volumen encriptado afectado por este problema. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3212: Judson Powers de ATC-NY

  • Sistemas de archivos

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un atacante en una posición de red privilegiada podría manipular los certificados de los servidores HTTPS y provocar la divulgación de información confidencial

    Descripción: Existía un problema en el manejo de volúmenes WebDAV de los servidores HTTPS. Si el servidor presentaba una cadena de certificados que no se podía verificar automáticamente, se mostraba una advertencia y se cerraba la conexión. Si el usuario hacía clic en el botón "Continuar" en el cuadro de diálogo de advertencia, se aceptaban todos los certificados de la siguiente conexión a dicho servidor. Un atacante en una posición de red privilegiada podría manipular la conexión para obtener información confidencial o realizar acciones en el servidor en nombre del usuario. Esta actualización resuelve el problema, ya que comprueba que el certificado recibido en la segunda conexión es el mismo que se presentó originalmente al usuario.

    ID CVE

    CVE-2011-3213: Apple

  • IOGraphics

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Una persona con acceso físico podría ser capaz de omitir el bloqueo de pantalla

    Descripción: Existía un problema con el bloqueo de pantalla cuando se utilizaba con pantallas Apple Cinema Display. Cuando se requiere una contraseña para activar el sistema tras un reposo, una persona con acceso físico podría acceder al sistema sin contraseña si el sistema está en el modo reposo de pantalla. Esta actualización resuelve el problema, ya que garantiza que el bloqueo de pantalla está correctamente activado en el modo reposo de pantalla. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-3214: Apple

  • Servidor de iChat

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un atacante remoto podría provocar que el servidor Jabber consumiera recursos del sistema desproporcionadamente

    Descripción: Existía un problema en el manejo de entidades externas de XML en jabberd2, un servidor para el protocolo extensible de mensajería y comunicación de presencia (XMPP). jabberd2 expande las entidades externas en las solicitudes entrantes. Esto permite que el atacante consuma recursos del sistema a gran velocidad, con lo que se deniega el servicio a usuarios legítimos del servidor. Esta actualización resuelve el problema, ya que desactiva la expansión de entidades en las solicitudes entrantes.

    ID CVE

    CVE-2011-1755

  • Kernel

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Una persona con acceso físico podría ser capaz de acceder a la contraseña del usuario

    Descripción: Un error lógico en la protección DMA para el kernel permitía el DMA por FireWire en las ventanas de inicio de sesión, arranque y apagado, pero no en el bloqueo de pantalla. Esta actualización resuelve el problema, ya que evita el DMA por FireWire en todos los estados en los que el usuario no ha iniciado sesión.

    ID CVE

    CVE-2011-3215: Passware, Inc.

  • Kernel

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un usuario sin privilegios podría eliminar los archivos de otro usuario en un directorio compartido

    Descripción: Existía un error lógico en el manejo que el kernel efectuaba sobre la eliminación de archivos en directorios con sticky bit.

    ID CVE

    CVE-2011-3216: Gordon Davisson de Crywolf, Linc Davis, R. Dormer, y Allan Schmid y Oliver Jeckel de brainworks Training

  • libsecurity

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un sitio web o un mensaje de correo electrónico creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un error de manejo al analizar la extensión de una lista de revocaciones de certificados no estándar.

    ID CVE

    CVE-2011-3227: Richard Godbee de Virginia Tech

  • Mailman

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Diversas vulnerabilidades en Mailman 2.1.14

    Descripción: Mailman 2.1.14 presentaba varios problemas de secuencias de comandos entre sitios cruzados. Para solucionar estos problemas, se debe mejorar la codificación de los caracteres en la salida HTML. Se ofrece más información sobre esto en el sitio de Mailman en http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0707

  • MediaKit

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Abrir una imagen de disco creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en el manejo de las imágenes de disco. Estos problemas no afectan a los sistemas OS X Lion.

    ID CVE

    CVE-2011-3217: Apple

  • Open Directory

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Cualquier usuario podría leer los datos de contraseña de otro usuario local

    Descripción: Existía un problema de control de acceso en Open Directory. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3435: Arek Dreyer de Dreyer Network Consultants, Inc. y Patrick Dunstan de defenseindepth.net

  • Open Directory

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un usuario autenticado podría cambiar la contraseña de la cuenta sin proporcionar la contraseña actual

    Descripción: Existía un problema de control de acceso en Open Directory. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3436: Patrick Dunstan de defenceindepth.net

  • Open Directory

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un usuario podría iniciar sesión sin contraseña

    Descripción: Cuando Open Directory se enlaza con un servidor LDAPv3 mediante RFC2307 o asignaciones personalizadas, como cuando no existe un atributo AuthenticationAuthority para un usuario, un usuario LDAP podría iniciar sesión sin contraseña. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3226: Jeffry Strunk de University of Texas en Austin, Steven Eppler de Colorado Mesa University, Hugh Cole-Baker y Frederic Metoz de Institut de Biologie Structurale

  • PHP

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de presencia de signo en el procesamiento de fuentes de tipo 1 en FreeType. Este problema se resuelve con la actualización de FreeType a la versión 2.4.6. Este problema no afecta a los sistemas anteriores a OS X Lion. Se ofrece más información sobre esto en el sitio de FreeType en http://www.freetype.org/

    ID CVE

    CVE-2011-0226

  • PHP

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Diversas vulnerabilidades en libpng 1.4.3

    Descripción: Se debe actualizar libpng a la versión 1.5.4 para resolver varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código arbitrario. Se ofrece más información sobre esto en el sitio de libpng en http://www.libpng.org/pub/png/libpng.html

    ID CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Diversas vulnerabilidades en PHP 5.3.4

    Descripción: Se debe actualizar PHP a la versión 5.3.6 para resolver varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código arbitrario. Este problema no afecta a los sistemas OS X Lion. Se ofrece más información sobre esto en el sitio de PHP en http://www.php.net/

    ID CVE

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Diversas vulnerabilidades en Postfix

    Descripción: Se debe actualizar Postfix a la versión 2.5.14 para resolver varias vulnerabilidades, la más grave de las cuales puede permitir que un atacante con una posición de red privilegiada manipule la sesión de correo para obtener información confidencial desde el tráfico encriptado. Estos problemas no deberían afectar a los sistemas OS X Lion. Se ofrece más información sobre esto en el sitio de Postfix en http://www.postfix.org/announcements/postfix-2.7.3.html

    ID CVE

    CVE-2011-0411

    CVE-2011-1720

  • python

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Diversas vulnerabilidades en python

    Descripción: Existían varias vulnerabilidades en python, la más grave de las cuales podía provocar la ejecución de código arbitrario. Esta actualización soluciona el problema, ya que aplica revisiones del proyecto Python. Se ofrece más información sobre esto en el sitio de python en http://www.python.org/download/releases/

    ID CVE

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en el manejo de archivos de película por parte de QuickTime.

    ID CVE

    CVE-2011-3228: Apple

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento en el búfer de pila durante el procesamiento de átomos STSC en los archivos de películas de QuickTime. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0249: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento en el búfer de pila durante el procesamiento de átomos STSS en los archivos de películas de QuickTime. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0250: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento en el búfer de pila durante el procesamiento de átomos STSZ en los archivos de películas de QuickTime. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0251: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento en el búfer de pila durante el procesamiento de átomos STTS en los archivos de películas de QuickTime. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0252: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Un atacante en una posición de red privilegiada podría inyectar scripts en un dominio local cuando se visualiza la plantilla HTML

    Descripción: Existía un problema de secuencias de comandos entre sitios cruzados en la exportación de QuickTime Player con "Guardar para web". Los archivos de plantilla HTML generados por esta característica hacían referencia a un archivo de script con un origen no encriptado. Un atacante en una posición de red privilegiada podría inyectar scripts creados con fines malintencionados en el dominio local si el usuario visualiza un archivo de plantilla localmente. Para resolver este problema, se debe eliminar la referencia a un script en línea. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-3218: Aaron Sigel de vtty.com

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento en el búfer durante el procesamiento de archivos de película codificados H.264 por parte de QuickTime.

    ID CVE

    CVE-2011-3219: Damian Put en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar la divulgación de contenido de la memoria

    Descripción: Existía un problema de acceso a la memoria no inicializada en el procesamiento de datos de los usuarios de URL dentro de los archivos de película por parte de QuickTime.

    ID CVE

    CVE-2011-3220: Luigi Auriemma en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de implementación en el manejo de la jerarquía de átomos dentro de un archivo de película por parte de QuickTime.

    ID CVE

    CVE-2011-3221: Un investigador anónimo en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un archivo FlashPix creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento en el búfer durante el procesamiento de archivos FlashPix por parte de QuickTime.

    ID CVE

    CVE-2011-3222: Damian Put en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento en el búfer durante el procesamiento de archivos FLIC por parte de QuickTime.

    ID CVE

    CVE-2011-3223: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • Servidor de archivos SMB

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un usuario invitado podría explorar carpetas compartidas

    Descripción: Existía un problema de control de acceso en el servidor de archivos SMB. Si se desautoriza el acceso de invitado al registro de punto compartido para una carpeta, se evita que el usuario "_unknown" explore el punto compartido, pero no los invitados (usuario "nobody"). Para solucionar este problema, se debe aplicar el control de acceso al usuario invitado. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3225

  • Tomcat

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Diversas vulnerabilidades en Tomcat 6.0.24

    Descripción: Tomcat se ha actualizado a la versión 6.0.32 para solucionar varias vulnerabilidades, la más grave de las cuales puede producir un ataque de secuencias de comandos entre sitios cruzados. Tomcat solo se suministra con sistemas Mac OS X Server. Este problema no afecta a los sistemas OS X Lion. Se ofrece más información sobre esto en el sitio de Tomcat en http://tomcat.apache.org/

    ID CVE

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Documentación para el usuario

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Un atacante en una posición de red privilegiada podría manipular el contenido de la ayuda de la tienda App Store y así, provocar la ejecución de código arbitrario

    Descripción: El contenido de la ayuda de la tienda App Store se ha actualizado a través de HTTP. Esta actualización soluciona el problema, ya que actualiza el contenido de la ayuda de la tienda App Store a través de HTTPS. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-3224: Aaron Sigel de vtty.com y Brian Mastenbrook

  • Servidor web

    Disponible para: Mac OS X Server v10.6.8

    Impacto: Es posible que los clientes no puedan acceder a servicios web que requieren autenticación Digest

    Descripción: Se ha resuelto un problema en el manejo de la autenticación HTTP Digest. Es posible que los usuarios sufran una denegación de acceso a los recursos del servidor cuando la configuración del servidor debe permitir el acceso. Este problema no representa un riesgo para la seguridad y se ha solucionado para facilitar el uso de mecanismos de autenticación más fuertes. Este problema no afecta a los sistemas donde se ejecuta OS X Lion Server.

  • X11

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Diversas vulnerabilidades en libpng

    Descripción: Existían varias vulnerabilidades en libpng, la más grave de las cuales podía provocar la ejecución de código arbitrario. Para solucionar estos problemas, se debe actualizar libpng a la versión 1.5.4 en los sistemas OS Lion y a la versión 1.2.46 en los sistemas Mac OS X v10.6. Se ofrece más información sobre esto en el sitio de libpng en http://www.libpng.org/pub/png/libpng.html

    ID CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: